[bglug] Sistemistica: Postfix in situazioni particolari.

Manuel manetta@mediacom.it
Gio 14 Apr 2005 11:30:22 CEST


paradox ha scritto:

> Allora l'architettura della cosa è la seguente:

perfetto!
solo una curiosita'... come mai hai deciso di utilizzare 2 server smtp?
Io lo farei solo se c'e' bisogno di una certa divisione di carico
(il primo filtra e il secondo fa il delivery) ma le puoi tenere 
tranquillamente tutte e due in lan o in dmz

Potresti far tranquillamente tutto con uno solo... in lan o in dmz ...
l'importante è che hai un server dns interno che risolve le macchine sia 
in lan che in (eventuale) dmz.

oppure ci sono sottigliezze che non colgo o non hai specificato..

> miodominio.tld   stmp:SERVER_INTERNO_LAN.tld:25
> 
> Cioè: tutto quello che arriva diretto al mio dominio sul server che è a 
> "contatto" con internet (cioè quello in DMZ :D) mandalo al server mail 
> INTERNO alla LAN. Metto tutto tipo in /etc/postfix/transport e lancio un 
> bel postmap /etc/postfix/transport abilitando in main.cf il transport: 
> transport_maps = hash:/etc/postfix/transport

esatto, e il relayhost fa messo sul server che hai in LAN, altrimenti 
tenterebbe il delivery diretto senza passare da quello in DMZ.

> Stando così le cose ora io dicevo: il server mail ESTERNO (in dmz :D) ha 
> IP privato (classe diversa rispetto a quella in LAN) e ha come gateway 
> l'FW. Quindi l'inoltro "in internet" delle mail, per il server mail 
> esterno (che riceve le mail dal server INTERNO), fila liscio visto che 
> recapita la mail al gateway (il FW) con la giusta destinazione.

aspetta: il delivery delle mail e' un conto, le route delle tue zone 
private sono tutt'altra cosa.
Non confondere il gateway con la consegna della posta. Il gateway e' 
semplicemente la macchina a cui inviare tutti i pacchetti tcp/ip esterni 
alla tua rete, non si occupa di dove inviare la posta.

A questo punto, sul server in DMZ hai 2 possibilita':
- delivery diretto
- relayhost verso il server del tuo provider.

io ti consiglio vivamente la seconda, a meno che il tuo provider abbia 
problemi di blacklist del suo server (o suoi server).
Se fai il delivery diretto, devi
a) settare BENE le zone dirette e quelle inverse nel DNS
b) far settare correttamente nel dns che gestisce la classe di ip 
pubblici che usi la zona inversa dell'IP con cui si presenta in internet 
il server in DMZ (nattato dal fw, quindi e' l'ip pubblico del fw)
c) sperare che la tua classe di ip pubblici non sia in qualche blacklist
Inoltre non sono sicuro, ma e' possibile che quando si presenta agli 
altri mailserver lo faccia tirando fuori il suo IP PRIVATO di DMZ e 
quindi probabilmente il mailserver remoto ti chiude subito la connessione.
A volte mi capita addirittura che al mio si colleghino macchine che si 
presentano come "localhost.localdomain (127.0.0.1)" AAARGH !!!
(mix di malconfigurazione tra macchina, postfix, host.conf, hosts e dns)
Come potrei non chiudergli la porta in faccia ??? :-)

Ciao
Manuel


Maggiori informazioni sulla lista bglug